Práticas recomendadas de configuração para CES ESA

Introduction

Este documento fornece um resumo de recomendações para administradores que usam o Cloud Email Security (CES) da Cisco para configurar seu Cisco Email Security Appliance (ESA).  A Cisco fornece a todos os clientes do CES um Security Management Appliance (SMA) em sua instância do CES.  Para fins de gerenciamento centralizado, partes da configuração e das práticas recomendadas instruem os administradores a usar a(s) quarentena(s), localizada(s) no SMA.

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Administração de ESA, CLI e administração de nível de GUI
• Administração de SMA, administração em nível de GUI
• Os clientes CES podem solicitar acesso CLI às suas instâncias CES a partir das seguintes instruções: Acesso à CLI do cliente CES

Componentes Utilizados

As informações neste documento são baseadas nas melhores práticas e recomendações para clientes e administradores de CES.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Produtos Relacionados

Este documento também pode ser usado com as seguintes versões de hardware e software:

• Hardware e dispositivos virtuais (não CES) do ESA no local executando qualquer versão do AsyncOS para segurança de e-mail
• Hardware local e dispositivos virtuais (não CES) SMA executando qualquer versão do AsyncOS para gerenciamento de segurança

Quarentenas de política

As quarentenas são configuradas e mantidas no SMA para clientes CES.  Faça login em seu SMA e visualize as quarentenas e crie previamente as seguintes quarentenas, conforme necessário:

• CONTA_TOMADA
• ANTI_SPOOF
• BLOCO_ANEXOS
• BLOQUEIO
• DKIM_FAIL
• DMARC_QUARANTINA
• DMARC_REJECT
• FORGED_EMAIL
• CONTEÚDO_INAPROPRIADO
• MACRO
• OPEN_RELAY
• SDR_DATA
• SPF_HARDFAIL
• SPF_SOFTFAIL
• TG_OUTBOUND_MALWARE
• URL_MALICIOUS

Práticas recomendadas de configuração para CES ESA

Aviso: Qualquer alteração na(s) configuração(ões) com base nas melhores práticas fornecidas neste documento deve ser revisada e compreendida antes de confirmar suas alterações de configuração em um ambiente de produção.  Consulte o Engenheiro de Sistema CES ou a Equipe de Contas antes de fazer alterações de configuração que você não entende ou se sente confortável ao administrar.

Configuração básica 

Tabela de acesso de destinatário (RAT)

As mensagens aceitas para domínios são configuradas na Tabela de acesso de destinatário.  Revise Políticas de e-mail > Tabela de acesso de destinatário (RAT) para adicionar e gerenciar domínios conforme necessário.

Rotas SMTP

Se o destino da rota SMTP for o Office 365 hospedado, consulte Office365 Throttling CES New Instance com "4.7.500 Server ocupado. Please try again later." (Tente novamente mais tarde.)

Serviços de segurança

Antisspam IronPort (IPAS)

• Habilitado e configurado a opção Sempre verificar 1M e Nunca verificar 2M

Filtragem de URL

• Habilitar filtros de categorização de URL e reputação
• (Opcional) Crie e configure a Lista de URL permitidos denominada "bypass_urls"
• Habilitar rastreamento de interação da Web

Detecção de Graymail

• Habilitar e configurar Sempre verificar 1M e Nunca verificar 2M
• Tempo limite para verificação de mensagem única: 60 segundos

Filtros de detecção

• Habilitar regras adaptáveis
• Tamanho máximo da mensagem a verificar: 2 milhões
• Habilitar rastreamento de interação da Web

Proteção avançada contra malware > Reputação e análise de arquivos

• Habilitar reputação do arquivo
• Habilitar análise de arquivo
• Revisar e ativar tipos de arquivos adicionais após a ativação do recurso

Rastreamento de mensagem

• Habilitar registro de conexão rejeitado (se necessário) 

Serviços adicionais para revisar e considerar:

LDAP

• Se estiver usando LDAP, recomendamos usar LDAP com SSL habilitado

SPF

• Clientes CES, uma macro é publicada para todos os hosts CES de acordo com o nome do host de alocação para facilitar a adição de todos os hosts.
• Coloque a seguinte macro antes de ~todos ou -todos no registro TXT (SPF) DNS atual, se existir: 

exists:%{i}.spf.<allocation>.iphmx.com

Observação: certifique-se de que o registro SPF termine com ~all ou -all. Colocar esta parte do registro SPF em qualquer outro lugar pode causar erros na entrega de e-mail. Sempre valide antes de fazer alterações. 

• Valide os registros SPF para os domínios do cliente antes e depois de qualquer alteração!
  • Exemplo de ferramenta: 
    • https://www.kitterman.com/spf/validate.html?
  • Se você quiser pré-validar uma alteração de SPF proposta:
    • https://app.dmarcanalyzer.com/dns/spf
      1. Clique em "Prevalecer uma atualização de registro SPF"
      2. Inserir domínio
      3. Cole o registro SPF TXT e clique em 'Validar SPF'
• Discriminação dos elementos básicos de um registro SPF:

[v=spf1]Identifica o registro TXT como um registro SPF.
[existe]O registro existe
[%{i}]Expressão de macro que é substituída pelo IP de conexão.
[-all]Falha: permite somente correio que corresponda a um dos parâmetros (IPv4, MX, etc) no registro

[~all] SoftFail: Permitir correio, independentemente de corresponder ou não aos parâmetros no registro

Mais exemplos SPF:

• Se você estiver recebendo no CES e enviando e-mails de saída de outros servidores de e-mail, um bom começo seria o exemplo a seguir. Você pode usar o mecanismo "a:" para especificar hosts de correio.  

v=spf1 mx a:mail01.yourdomain.com a:mail99.yourdomain.com ~all 

• Se você estiver enviando somente e-mails de saída através do CES, poderá usar:

v=spf1 mx exists:%{i}.spf.<allocation>.iphmx.com ~all 

• Neste exemplo, o mecanismo "ip4:" ou "ip6:" é usado para especificar um endereço IP ou intervalo de endereços IP.

v=spf1 exists:%{i}.spf.<allocation>.iphmx.com ip4:192.168.0.1/16 ~all

Administração do sistema

Usuários (Administração do sistema > Usuários)

• Lembre-se de revisar e definir as políticas de senha associadas às 'Configurações de conta de usuário local e senha'
• Se possível, configure e ative o Lightweight Diretory Access Protocol (LDAP) para autenticação (Administração do sistema > LDAP)

Registro (Administração do sistema > Inscrições de log)

• Se não estiver configurado, crie e ative:
  • Logs do histórico de configuração
  • Logs de filtragem de URL ou logs de cliente de reputação de URL
• Para configurações globais, edite configurações e cabeçalhos de log: Para, de, Responder para, Remetente

Alterações de nível CLI

Filtragem de URL do Web Security

• Leia nossa Filtragem de URL e as Melhores formas de aprendizado do ESA.
• Somente CLI, execute o comando websecurityadvancedconfig e configure o seguinte:

> websecurityadvancedconfig

Enter URL lookup timeout (includes any DNS lookup time) in seconds:
[5]>

Enter the URL cache size (no. of URLs):
[810000]>

Do you want to disable DNS lookups? [N]>

Enter the maximum number of URLs that can be scanned in a message body:
[100]> 400

Enter the maximum number of URLs that can be scanned in the attachments in a message:
[25]> 400

Enter the Web security service hostname:
[v2.sds.cisco.com]>

Enter the threshold value for outstanding requests:
[50]> 5

Do you want to verify server certificate? [Y]>

Do you want to enable URL filtering for shortened URLs? [Y]>

Enter the default time-to-live value (seconds):
[30]> 600

Do you want to rewrite both the URL text and the href in the message? Y indicates that the full rewritten URL will appear in the email body. N indicates that the rewritten URL will only be visible in the href for HTML messages. [N]>

Do you want to include additional headers? [N]>

Enter the default debug log level for RPC server:
[Info]>

Enter the default debug log level for URL cache:
[Info]>

Enter the default debug log level for HTTP client:
[Info]>

  

  

Observação: a partir do AsyncOS 13.5, a filtragem de URLs será tratada pelo Cloud URL Analysis (CUA).  O comando websecurityadvancedconfig será diferente e reduzirá algumas opções de configuração. 

  

  

> websecurityadvancedconfig

Enter URL lookup timeout in seconds:
[15]>

Enter the maximum number of URLs that can be scanned in a message body:
[100]> 400

Enter the maximum number of URLs that can be scanned in the attachments in a message:
[25]> 400

Do you want to rewrite both the URL text and the href in the message? Y indicates that the full rewritten URL will appear in the email body. N indicates that the rewritten URL will only be visible in the href for HTML messages. [N]>

Do you want to include additional headers? [N]>

Registro de URL

• Leia nossa Filtragem de URL e as Melhores formas de aprendizado do ESA.
• Somente CLI, execute o comando outbreakconfig e configure a seguinte seção como mostrado, se ainda não estiver ativada:

Logging of URLs is currently disabled.

Do you wish to enable logging of URL's? [N]> y

Logging of URLs has been enabled.

Filtro Anti-Spoof

• Leia nosso Guia de práticas recomendadas para anti-falsificação.

Filtro de Acondicionamento de Cabeçalho

• Somente CLI, escreva e ative o seguinte filtro de mensagem:

addHeaders:  if (sendergroup != "RELAYLIST")
{
     insert-header("X-IronPort-RemoteIP", "$RemoteIP");
     insert-header("X-IronPort-MID", "$MID");
     insert-header("X-IronPort-Reputation", "$Reputation");
     insert-header("X-IronPort-Listener", "$RecvListener");
     insert-header("X-IronPort-SenderGroup", "$Group");
     insert-header("X-IronPort-MailFlowPolicy", "$Policy");
}

  

  

Tabela de acesso de host

Grupos de remetentes adicionais

• Guia do usuário do ESA: Criando um grupo de remetente para o tratamento de mensagens
  • BYPASS_SBRS - Aumente para fontes que ignoram a reputação
  • MY_TRUSTED_SPOOF_HOSTS - Parte do filtro de falsificação
  • TLS_REQUIRED - Para conexões TLS forçadas

No grupo de remetentes SUSPECTLIST predefinido

• Guia do usuário ESA: Verificação do remetente: Host
  • ativar "Pontuações de SBRS em Nenhum"
  • (Opcional) enable "Falha na pesquisa de registro PTR do host de conexão devido a falha temporária de DNS"

Exemplo de HAT agressivo

• BLOCKLIST_REFUSE [-10.0 a -9.0] POLÍTICA: BLOCKED_REFUSE
• BLOCKLIST_REJECT [-9.0 a -2.0] POLÍTICA: BLOCKED_REJECT
• SUSPEITTLIST [-2.0 a 0.0 e pontuações SBRS de "Nenhuma"] POLÍTICA: ROTEADO
• ACCEPTLIST [0.0 a 10.0] POLÍTICA: ACEITO

  

  

Nota: Os exemplos de HAT acima mostram políticas de fluxo de e-mail configuradas adicionalmente.  Para obter informações completas sobre o MFP, consulte o Guia do usuário da versão apropriada do AsyncOS para segurança de e-mail em execução no ESA.  Exemplo, AsyncOS 10.0: Tabela de acesso de host (HAT), grupos de remetentes e políticas de fluxo de e-mail

  

  

Exemplo de HAT:

  

  

Política de fluxo de e-mail (Parâmetros de política padrão)

Parâmetros de política padrão

Configurações de segurança

• Defina TLS (Transport Layer Security, Segurança de Camada de Transporte) como preferido
• Habilitar Estrutura de Política de Remetente (SPF)
• Habilitar DomainKeys Identified Mail (DKIM)
• Habilitar Autenticação de Mensagens com Base em Domínio, Verificação de Relatórios e Conformidade (DMARC) e Enviar Relatórios de Comentários Agregados

  

  

Nota: O DMARC requer ajuste adicional para ser configurado.  Para obter informações completas sobre o DMARC, consulte o Guia do usuário da versão apropriada do AsyncOS para segurança de e-mail em execução no ESA.  Exemplo, AsyncOS 10.0: Verificação DMARC

  

  

Políticas de e-mail de entrada

A política padrão deve ser configurada da mesma forma que:

Anti-spam

• Habilitado, com limites deixados nos limites padrão.  (A modificação da pontuação pode resultar em um aumento de falso positivo.)

Antivírus

• Verificação de mensagem:
  • Verificar apenas vírus
  • verifique se a caixa de seleção "Incluir um cabeçalho X" está habilitada
  • Mensagens não verificáveis, Mensagens infectadas por vírus: defina "Arquivar mensagem original" como Não

AMP

• Ações não verificáveis em erros de mensagem: usar Avançado e Adicionar Cabeçalho do Cliente à Mensagem: "X-TG-MSGERROR", valor: "verdadeiro"
• Ações não verificáveis no limite de taxa: usar Avançado e Adicionar Cabeçalho do Cliente à Mensagem: "X-TG-RATELIMIT", valor: "verdadeiro"
• Mensagens com análise de arquivo pendente: usar Ação aplicada à mensagem como "Quarentena"

Graymail

• Verificação habilitada para cada veredito, assunto de pré-pagamento e entrega
• Para ação em massa de e-mail, use Avançado e Adicionar cabeçalho personalizado "X-BulkMail", valor = "Verdadeiro"

Filtros de conteúdo

• Habilitado e usando URL_QUARANTINE_MALICIOUS, URL_REWRITE_SUSPICIOUS, URL_INAPPROPRIATE, DKIM_FAILURE, SPF_HARDFAIL, EXECUTIVE_SPOOF, DOMAIN_SPOOF, SDR, TG_RATE_LIMIT

Filtros de detecção

• O nível de ameaça padrão é 3, ajuste conforme seus requisitos de segurança
  • Se o nível de ameaça de uma mensagem for igual ou exceder esse limite, a mensagem será enviada para a Quarentena de detecção. (1=ameaça mais baixa, 5=ameaça mais alta)
• Ativar modificação de mensagem
• Reescrita de URL definida para "Ativar para todas as mensagens"
• Alterar assunto de acordo com: [Possível $threat_category Antifraude]

  

  

ALLOW_SPOOF Mail Policy

A política de correio ALLOW_SPOOF está configurada com todos os serviços predefinidos ativados e os filtros de conteúdo ativados para URL_QUARANTINE_MALICIOUS, URL_REWRITE_SUSPICIOUS, URL_INAPPROPRIATE, SDR ou filtros de conteúdo de sua escolha e configuração.

Diretiva de e-mail ALLOWLIST

A política de e-mail ALLOWLIST está configurada com Antispam e Graymail desativado, e Filtros de conteúdo habilitados para URL_QUARANTINE_MALICIOUS, URL_REWRITE_SUSPICIOUS, URL_INAPPROPRIATE, DKIM_FAILURE, SPF_HARDFAIL, EXECUTIVE SPOOF, DOMAIN_SPOOF, SDR, TG_RATE_RATE ou filtros de conteúdo de sua escolha e configuração.

BLOCKLIST - Política de e-mail

A política de mensagens BLOCKLIST está configurada com todos os serviços desativados, exceto a Proteção avançada contra malware e o link para um filtro de conteúdo com ação de QUARENTENA. 

  

  

Políticas de envio de e-mail

A política padrão deve ser configurada da mesma forma que:

Anti-spam

• Desabilitado

Antivírus

• Verificação de mensagem:
  • Verificar apenas vírus
  • desmarque a caixa de seleção para "Incluir um cabeçalho X"
• Para todas as mensagens: Avançado > Outra notificação, habilite "Outros" e inclua o endereço de e-mail de contato do administrador/SOC

Proteção avançada contra malware

• Habilitar somente a reputação do arquivo
• Ações não verificáveis no limite de taxa: usar Avançado e Adicionar Cabeçalho do Cliente à Mensagem: "X-TG-RATELIMIT", valor: "verdadeiro"
• Mensagens com anexos de malware: usar Avançado e Adicionar Cabeçalho do Cliente à Mensagem: "X-TG-OUTBOUND", valor: "MALWARE DETECTADO"

Graymail

• Desabilitado

Filtros de conteúdo

• Habilitado e usando TG_OUTBOUND_MALICIOUS, Strip_Secret_Header, EXTERNAL_SENDER_REMOVE, ACCOUNT_TAKEOVER ou filtros de conteúdo de sua escolha e configuração

Filtros de detecção

• Desabilitado

DLP

• Habilitar, com base no licenciamento DLP e na configuração DLP.  (Isso não será abordado neste documento.)

    

Outras configurações

Dicionários (Políticas de e-mail > Dicionários)

• Habilitar e revisar o dicionário de proficiência e conteúdo sexual
• Criar dicionário Executive_FED para detecção de e-mail forjado, incluir todos os nomes executivos
• Crie dicionários/dicionários adicionais para palavras-chave restritas ou outras conforme necessário para suas políticas, ambiente, controle de segurança

Controles de destino (Políticas de e-mail > Controles de destino)

• Para o domínio padrão, ative TLS definindo como preferencial
• Você pode adicionar destinos para domínios de webmail e definir limites mais baixos
• Consulte o nosso guia Limite de taxa do seu próprio correio de saída com configurações de controle de destino para obter mais informações.

  

  

Filtros de conteúdo

  

  

Nota: Para obter informações completas sobre filtros de conteúdo, consulte o Guia do usuário da versão apropriada do AsyncOS para segurança de e-mail em execução no ESA.  Exemplo, AsyncOS 10.0: Filtros de conteúdo  

  

  

Os seguintes filtros de conteúdo foram sugeridos na seção Políticas de recebimento de e-mail e Políticas de envio de e-mail.  Revise e adicione se você seguiu as orientações deste guia.

Filtros de conteúdo de entrada

URL_QUARANTINE_MALICIOUS

Condição: URL Reputation; url-identity(-10.00, -6.00, "bypass_urls", 1, 1)

Ação: Quarentena: quarentena("URL_MALICIOUS")

  

URL_REWRITE_SUSPICIOUS

Condição: URL Reputation; url-identity(-5.90, -5.60, "bypass_urls", 0, 1)

Ação: Reputação de URL; url-reputação-proxy-redirect(-5.90, -5.60,"",0)

  

URL_INAPROPRIADO

Condição: Categoria de URL; url-category (['Adulto', 'Conteúdo de abuso infantil', 'Extremo', 'Discurso de ódio', 'Atividades ilegais', 'Downloads ilegais', 'Drogas ilegais', 'Pornografia', 'Prevenção de filtro'], "bypass_urls", 1, 1)

Ação: Quarentena; quarentena duplicada("INAPPROPRIATE_CONTENT")

  

DKIM_FAILURE

Condição: Autenticação DKIM; dkim-authentication == "hardfail"

Ação: Quarentena; quarentena duplicada("DKIM_FAIL")

  

SPF_HARDFAIL

Condição: Verificação SPF; spf-status == "falha"

Ação: Quarentena; quarentena duplicada("SPF_HARDFAIL")

  

EXECUTIVE_SPOOF

Condição: Detecção de e-mail forjada; detecção de e-mail forjada("Executive_FED", 90, "")

Condição: Outro cabeçalho ("X-IronPort-SenderGroup") != "(?i)allowspoof"

* definir Aplicar regra: Somente se todas as condições coincidirem

Ação: Adicionar/Editar Cabeçalho; editar cabeçalho-texto("Assunto", "(.*)", "[EXTERNAL]\\1")

Ação: Quarentena; quarentena duplicada("FORGED_EMAIL")

  

DOMAIN_SPOOF

Condição: Outro cabeçalho; header("X-Spoof")

Ação: Quarentena; quarentena duplicada("ANTI_SPOOF")

  

SDR

Condição: Reputação de domínio; reputação de sdr (['terrível'], "")

Condição: Reputação do domínio; sdr-age ("dias", <, 5, "")

* definir Aplicar regra: Se uma ou mais condições coincidirem

Ação: Quarentena; quarentena duplicada("SDR_DATA")

  

TG_RATE_LIMIT

Condição: Outro cabeçalho; header("X-TG-RATELIMIT")

Ação: Adicionar registro de entrada; registro de entrada("X-TG-RATELIMIT: $filename")

  

BLOCKLIST_QUARANTINA

Condição: (Nenhum)

Ação: Quarentena; quarentena("BLOCKLIST")

  

  

  

  

Filtros de conteúdo de saída

  

TG_OUTBOUND_MALICIOUS

Condição: Outro cabeçalho; header("X-TG-OUTBOUND") == "MALWARE"

Ação: Quarentena; quarentena("TG_OUTBOUND_MALWARE")

  

Strip_Secret_Header

Condição: Outro cabeçalho; cabeçalho("PLACEHOLDER") == "PLACEHOLDER"

Ação: Cabeçalho da faixa; cabeçalho da faixa ("Locatário do X-IronPort")

  

EXTERNAL_SENDER_REMOVE

Condição: (Nenhum)

Ação: Adicionar/Editar cabeçalho; edit-header-text("Subject", "\\[EXTERNAL\\]\\s?", "")

  

CONTA_TOMADA

Condição: Outro cabeçalho (X-AMP-Result) == "(?i)mal-intencionado"

Condição: Reputação de URL; reputação de url(-10.00, -6.00 , "", 1, 1)

*Definir Regra de Aplicação: Se uma ou mais condições coincidirem

Ação: Notificar;notificar ("myit@mycompany.com", "POSSIBLE ACCOUNTING", "", "ACCOUNT_TAKEOVER_WARNING")

Ação: quarentena duplicada("ACCOUNT_TAKEOVER")

  

  

  

Para clientes de CES, temos filtros de conteúdo de exemplo incluídos na configuração de práticas recomendadas pré-carregadas.  Leia os filtros "SAMPLE_" para obter mais informações sobre as condições e ações associadas que podem ser benéficas em sua configuração.

  

  

Cisco Live

O Cisco Live hospeda várias sessões globalmente e oferece sessões presenciais e breakouts técnicos que cobrem as melhores práticas do Cisco Email Security.  Para sessões e acesso passados, acesse ciscolive.com:

• Segurança de e-mail da Cisco: Práticas recomendadas e ajuste fino - BRKSEC-2131

• DMARCate o seu perímetro de e-mail - BRKSEC-2131
• Correção de e-mail! - Solução de problemas avançada do Cisco Email Security - BRKSEC-3265
• Integrações de API para Cisco Email Security - DEVNET-2326
• Proteção de serviços de caixa de correio SaaS com segurança de e-mail em nuvem da Cisco - BRKSEC-1025
• Segurança de e-mail: Práticas recomendadas e ajuste fino - TECSEC-2345
• 250 não está bem - Continuando na defesa com o Cisco Email Security - TECSEC-2345
• Proteção de domínio da Cisco e Proteção avançada contra phishing da Cisco: Aproveitando ao máximo a próxima camada em segurança de e-mail! - BRKSEC-1243
• SPF não é um acrônimo de "Spoof"! Vamos aproveitar ao máximo a próxima camada em segurança de e-mail! - DGTL-BRKSEC-2327

  

  

Informações Relacionadas

• Contrato de licença de usuário final CES
• Termos da oferta de nuvem da Cisco > CES, CRES, DMP, APP e CMD
• Termos da nuvem universal da Cisco
• Suporte e downloads da Cisco
• [EXTERNO] OpenSPF: Conceitos básicos do SPF e informações avançadas
• [EXTERNO] Autenticação com SPF: -all ou ~all